Problemi noti dell'Open SSL Dynamic Engine per AWS CloudHSM

Impatto: Open SSL Dynamic Engine supporta solo Open SSL 1.0.2 [f+]. Per impostazione predefinita, RHEL 6 e CentOS 6 vengono forniti con Open SSL 1.0.1.

Soluzione alternativa: aggiorna la SSL libreria Open su RHEL 6 e CentOS 6 alla versione 1.0.2 [f+].

Impatto: per massimizzare le prestazioni, non SDK è configurato per scaricare funzioni aggiuntive come la generazione di numeri casuali o le operazioni EC-DH.

Workaround: (Soluzione) contattarci attraverso l'apertura di un caso di supporto se si necessita dell'offload di operazioni aggiuntive.

Stato della risoluzione: stiamo aggiungendo il supporto per configurare le SDK opzioni di offload tramite un file di configurazione. Non appena disponibile, l'aggiornamento sarà annunciato nella pagina della cronologia delle versioni.

Impatto: qualsiasi chiamata alla RSA crittografia e alla decrittografia con OAEP padding fallisce e genera un errore. divide-by-zero Ciò si verifica perché il motore SSL dinamico Open chiama l'operazione localmente utilizzando il PEM file falso anziché scaricare l'operazione su. HSM

Workaround: (Soluzione) è possibile eseguire questa procedura utilizzando PKCSLibreria #11 per AWS CloudHSM Client SDK 5 o JCEprovider per AWS CloudHSM Client SDK 5.

Stato della risoluzione: stiamo aggiungendo il supporto per SDK scaricare correttamente questa operazione. Non appena disponibile, l'aggiornamento sarà annunciato nella pagina della cronologia delle versioni.

Impatto: poiché il failover è silenzioso, non vi è alcuna indicazione che non sia stata ricevuta una chiave generata in modo sicuro su. HSM Verrà visualizzata una traccia di output che contiene la stringa "...........++++++" se la chiave è generata localmente dal software Open SSL in. Questa traccia è assente quando l'operazione viene scaricata su. HSM Poiché la chiave non viene generata o memorizzata suHSM, non sarà disponibile per utilizzi futuri.

Soluzione alternativa: utilizzate il SSL motore Open solo per i tipi di chiavi che supporta. Per tutti gli altri tipi di chiave, utilizzate PKCS #11 o JCE nelle applicazioni oppure utilizzate key_mgmt_util in. CLI

Impatto: per impostazione predefinita, RHEL 8, CentOS 8 e Ubuntu 18.04 LTS forniscono una versione di Open SSL che non è compatibile con Open SSL Dynamic Engine for Client 3. SDK

Soluzione alternativa: utilizza una piattaforma Linux che fornisca supporto per Open SSL Dynamic Engine. Per ulteriori informazioni sulle piattaforme supportate, consulta la pagina relativa alle piattaforme supportate.

Stato della risoluzione: AWS CloudHSM supporta queste piattaforme con Open SSL Dynamic Engine for Client SDK 5. Per ulteriori informazioni, consulta Supported Platforms e Open SSL Dynamic Engine.

Impatto: l'utilizzo del digest dei messaggi SHA -1 per scopi crittografici è stato dichiarato obsoleto nella versione 9 (9.2+). RHEL Di conseguenza, le operazioni di firma e verifica con SHA -1 utilizzando Open Dynamic Engine avranno esito negativo. SSL

Soluzione alternativa: se lo scenario richiede l'uso di SHA -1 per firmare/verificare firme crittografiche esistenti o di terze parti, consulta Enhancing RHEL Security: Understanding SHA -1 deprecation on RHEL 9 (9.2+) e 9 (9.2+) per ulteriori dettagli. RHEL

Impatto: riceverai un errore se tenti di utilizzare AWS CloudHSM Open SSL Dynamic Engine quando il FIPS provider è abilitato per le versioni Open 3.x. SSL

Soluzione alternativa: per utilizzare AWS CloudHSM Open SSL Dynamic Engine con SSL le versioni Open 3.x, assicuratevi che il provider «predefinito» sia configurato. Ulteriori informazioni sul provider predefinito sono disponibili su Open SSL Website.